信息系统安全风险评估应用：基础知识

核心提示： ⑦、计算机系统所处位置当地自然条件、环境因素调查3、评估任务 评估任务就是指要达到某个风险评估项目的评估目标时，要具体进行的所有评估操作任务，信息系统安全风险评估应用：基础知识(5)，评估任务与每个评估项目相对应，具体的评估任务可以由你和你的团队根据实际需求来决定，要充分考虑机构所在区域的

⑦、计算机系统所处位置当地自然条件、环境因素调查

3、评估任务

评估任务就是指要达到某个风险评估项目的评估目标时，要具体进行的所有评估操作任务。评估任务与每个评估项目相对应，具体的评估任务可以由你和你的团队根据实际需求来决定。评估任务制定得全不全面，切不切合实际，会直接影响到信息系统安全风险评估的最终结果是否与风险评估的目标相一致。因此，当决定这些评估任务时，参与决定的人员不仅要有丰富的经验，而且手里要有充足的与评估对象相关的各种有效的资料；同时，要对目前的安全威胁，各种系统或设备的弱点和漏洞，各种攻击手段有充分的了解；而且，还要能仔细识别评估对象的资产类型及其重要性等。

由于评估任务是与具体的评估对象和评估项目来决定的，还与当前的安全威胁状况及发展趋势有关，同时由于文章篇幅的限制。因此，在本文中只能分别对这六个评估对象中的一到二个评估项目给出一些通用的评估任务。至于其它评估项目的评估任务，你和你的评估团队可以参考本文中给出的评估任务内容实例，使用头脑风暴的方法，通过分析收集到的各种有效资料来自行决定。

（1）、信息安全风险评估中隐私信息机密性审查的评估任务

隐私信息的机密性审查，主要是为了检测机构中员工及客户的隐私信息在使用、传输和存储过程中的完全性。由于这些隐私可能涉及到机构所在位置的某些法律条规，因此，在决定这个项目的评估任务时，要充分考虑机构所在区域的国家及地区法规。

通常，要进行一次全面的隐私机密性审查，应当完成下列所示的评估任务：

①、比对实际的隐私信息访问方式与隐私访问策略中规定的方式之间的差异；

②、检查隐私信息的监控保护方式符合当地的法律法规；